匯出 (0) 列印
全部展開

關於虛擬網路的 VPN 裝置

更新日期: 2014年7月

您可以使用安全的站對站 VPN 連線建立分公司方案,或者每當您想要在內部部署網路與虛擬網路之間建立安全連線時,也可以使用安全的站對站 VPN 連線。站對站連線需要有公開的 IPv4 IP 位址,以及在 Windows Server 2012 上執行的相容 VPN 裝置或 RRAS。若要建立最符合需求的站對站 VPN 連線,請考慮下列因素:

建立站對站 VPN 時,您可以指定「靜態」「動態」閘道。請根據您的路由器,以及您需要的 IPSec 參數和組態類型,選取支援的閘道類型。下表顯示靜態和動態 VPN 支援的組態。如果您打算同時使用站對站組態與點對站組態,則需要設定動態路由 VPN 閘道。

  • 靜態路由 VPN - 靜態路由 VPN 也稱為原則式 VPN。原則式 VPN 會根據用戶端自訂的原則,透過介面將封包進行加密與路由傳送。此原則通常定義為存取清單。靜態路由 VPN 需要靜態路由 VPN 閘道。
    附註 - 靜態路由 VPN 閘道不支援多網站 VPNVNet 對 VNet點對站

  • 動態路由 VPN - 動態路由 VPN 也稱為路由式 VPN。路由式 VPN 所依賴的通道介面是特別為轉送封包而建立的。任何到達通道介面的封包都會透過 VPN 連線轉送。動態路由 VPN 需要動態路由 VPN 閘道。
    附註 - 多網站 VPNVNet 對 VNet點對站需要動態路由 VPN 閘道。

下表列出靜態和動態 VPN 閘道的需求。

 

屬性 靜態路由 VPN 閘道 動態路由 VPN 閘道

站對站連線能力 (S2S)

原則式 VPN 組態

路由式 VPN 組態

點對站連線能力 (P2S)

不支援

支援 (可以與站對站連線能力共存)

驗證方法

預先共用金鑰

  • 站對站連線能力所需的預先共用金鑰

  • 點對站連線能力所需的憑證

站對站 (S2S) 連線數目上限

1

1

點對站 (P2S) 連線數目上限

不支援

128

作用中路由支援 (BGP)

不支援

不支援

我們已與裝置廠商合作驗證一組標準站對站 (S2S) VPN 裝置。如需已知與虛擬網路相容的 VPN 裝置清單,請參閱下面的<已知的相容 VPN 裝置>。此清單包含之裝置系列中的所有裝置,應該都可以搭配虛擬網路運作。為了協助設定 VPN 裝置,請參閱適用裝置系列的對應裝置組態範本。

如果在已知的相容 VPN 裝置清單中沒有看到您的裝置,而您想要將該裝置用於 VPN 連線,則需要確認其符合閘道需求資料表中所述的最低需求。符合最低需求的裝置應該也能搭配虛擬網路運作。如需其他支援和組態指示,請連絡裝置製造商。

我們與 VPN 裝置廠商合作,共同將限定特定的 VPN 裝置系列。下節提供所有已知裝置系列的清單,這些系列可搭配我們的虛擬網路閘道運作。所有列出之裝置系列的成員裝置,在已知狀況下都可搭配使用 (除非有提及例外狀況)。如需 VPN 裝置支援,請連絡您的裝置製造商。

 

廠商 裝置系列 最低作業系統版本 靜態路由設定範例 動態路由設定範例

Allied Telesis

AR 系列 VPN 路由器

2.9.2

即將推出

不相容

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

組態指示

不相容

Check Point

安全性閘道

R75.40

R75.40VS

組態指示

組態指示

Cisco

ASA

8.3

Cisco ASA 範本

不相容

Cisco

ASR

IOS 15.1 (靜態)

IOS 15.2 (動態)

Cisco ASR 範本

Cisco ASR 範本

Cisco

ISR

IOS 15.0 (靜態)

IOS 15.1 (動態)

Cisco ISR 範本

Cisco ISR 範本

Citrix

CloudBridge MPX 應用裝置或 VPX 虛擬應用裝置

整合指示

不相容

Dell SonicWALL

TZ 系列

NSA 系列

SuperMassive 系列

E-Class NSA 系列

SonicOS 5.8.x

SonicOS 5.9.x

SonicOS 6.x

組態指示

組態指示

F5

BIG-IP 系列

組態指示

不相容

Fortinet

FortiGate

FortiOS 5.0.7

組態指示

組態指示

Juniper

SRX

JunOS 10.2 (靜態)

JunOS 11.4 (動態)

Juniper SRX 範本

Juniper SRX 範本

Juniper

J-系列

JunOS 10.4r9 (靜態)

JunOS 11.4 (動態)

Juniper J 系列範本

Juniper J 系列範本

Juniper

ISG

ScreenOS 6.3 (靜態和動態)

Juniper ISG 範本

Juniper ISG 範本

Juniper

SSG

ScreenOS 6.2 (靜態和動態)

Juniper SSG 範本

Juniper SSG 範本

Microsoft

路由及遠端存取服務

Windows Server 2012

不相容

路由及遠端存取服務 (RRAS) 範本

Openswan

Openswan

2.6.32

(即將推出)

不相容

Watchguard

全部

Fireware XTM v11.x

組態指示

不相容

下載所提供的 VPN 裝置組態範本之後,您需要置換一些值,以反映您的環境設定。如果您是從管理入口網站下載 VPN 裝置範本,您會發現某些字串已預先填入屬於虛擬網路的值。不過,您還是必須更新範本,以反映環境的其他特定值。

使用 [記事本] 開啟範本。搜尋所有 <text> 字串並置換為適合您環境的值。請務必包含 <>。指定名稱時,您選取的名稱必須是唯一的。如果命令失效,請參閱裝置製造商所提供的文件。

 

範本文字 變更為

<RP_OnPremisesNetwork>

您為這個物件選擇的名稱。範例:myOnPremisesNetwork

<RP_AzureNetwork>

您為這個物件選擇的名稱。範例:myAzureNetwork

<RP_AccessList>

您為這個物件選擇的名稱。範例:myAzureAccessList

<RP_IPSecTransformSet>

您為這個物件選擇的名稱。範例:myIPSecTransformSet

<RP_IPSecCryptoMap>

您為這個物件選擇的名稱。範例:myIPSecCryptoMap

<SP_AzureNetworkIpRange>

指定範圍。範例:192.168.0.0

<SP_AzureNetworkSubnetMask>

指定子網路遮罩。範例:255.255.0.0

<SP_OnPremisesNetworkIpRange>

指定內部部署範圍。範例:10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

指定內部部署子網路遮罩。範例:255.255.255.0

<SP_AzureGatewayIpAddress>

此資訊專屬於您的虛擬網路,位於管理入口網站中做為 [閘道 IP 位址]

<SP_PresharedKey>

此資訊專屬於您的虛擬網路,位於管理入口網站中做為 [管理金鑰]

IKE 階段 1 設定

屬性 靜態路由 VPN 閘道 動態路由 VPN 閘道

IKE 版本

IKEv1

IKEv2

Diffie-Hellman 群組

群組 2 (1024 位元)

群組 2 (1024 位元)

驗證方法

預先共用金鑰

預先共用金鑰

加密演算法

AES256

AES128

3DES

AES256

3DES

雜湊演算法

(SHA1 SHA128)

(SHA1 SHA128)

階段 1 安全性關聯 (SA) 存留期 (時間)

28,800 秒

28,800 秒

IKE 階段 2 設定

屬性 靜態路由 VPN 閘道 動態路由 VPN 閘道

IKE 版本

IKEv1

IKEv2

雜湊演算法

(SHA1 SHA128)

(SHA1 SHA128)

階段 2 安全性關聯 (SA) 存留期 (時間)

3,600 秒

-

階段 2 安全性關聯 (SA) 存留期 (輸送量)

102,400,000 KB

-

IPsec SA 加密 & 驗證優惠 (依喜好順序)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES



請參閱 動態路由閘道 IPsec 安全性關聯 (SA) 優惠

完整轉寄密碼 (PFS)

無作用的對等偵測

不支援

是否支援

下表列出 IPsec SA 加密及驗證優惠。優惠是依照所呈現或接受的喜好順序列出。

 

IPsec SA 加密及驗證優惠 Azure 閘道為起始端 Azure 閘道為回應端

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1 與 ESP AES_128 與 null HMAC

5

AH SHA1 與 ESP AES_256 與 null HMAC

AH SHA1 與 ESP 3_DES 與 null HMAC

6

AH SHA1 與 ESP AES_128 與 null HMAC

AH MD5 與 ESP 3_DES 與 null HMAC,未提議留存期

7

AH SHA1 與 ESP 3_DES 與 null HMAC

AH SHA1 與 ESP 3_DES SHA1,無留存期

8

AH MD5 與 ESP 3_DES 與 null HMAC,未提議留存期

AH MD5 與 ESP 3_DES MD5,無留存期

9

AH SHA1 與 ESP 3_DES SHA1,無留存期

ESP DES MD5

10

AH MD5 與 ESP 3_DES MD5,無留存期

ESP DES SHA1,無留存期

11

ESP DES MD5

AH SHA1 與 ESP DES null HMAC,未提議留存期

12

ESP DES SHA1,無留存期

AH MD5 與 ESP DES null HMAC,未提議留存期

13

AH SHA1 與 ESP DES null HMAC,未提議留存期

AH SHA1 與 ESP DES SHA1,無留存期

14

AH MD5 與 ESP DES null HMAC,未提議留存期

AH MD5 與 ESP DES MD5,無留存期

15

AH SHA1 與 ESP DES SHA1,無留存期

ESP SHA,無留存期

16

AH MD5 與 ESP DES MD5,無留存期

ESP MD5,無留存期

17

-

AH SHA,無留存期

18

-

AH MD5,無留存期

另請參閱

顯示:
© 2014 Microsoft